Curioseando por sitios de seguridad
informática me encontré varias veces con esa extraña palabra "snake
oil" (aceite de culebra) hasta que encontré que se refería a
los antiguos charlatanes que iban con su carreta vendiendo un
milagroso (y falso) jarabe que tenía virtudes casi mágicas. Bueno,
ese es un snake oil, un producto que ofrece características que en
realidad no tiene.
Aparte de hacerme gracia no le tome
mucha importancia al asunto hasta que vi por primera vez un artículo
que cuestionaba la seguridad del PGP y la posibilidad de que
contuviese código que de entrada a una puerta trasera, de modo que
los mensajes puedan ser desencriptados.
Bueno, buscando un poco más me di
cuenta que el artículo estaba escrito por los fabricantes de un
producto competidor del PGP que se diseñó específicamente para
trabajar con las aplicaciones de Office, su nombre es Secure Office.
El caso es que presentaba una tabla
de comparación técnica que me pareció bastante tendenciosa,
presentando hechos incompletos y notoriamente parcializados a favor de
su propio producto, e incluso introduciendo algunas insinuaciones
francamente maliciosas. El propio sitio me dio mal presentimiento, ya
que se accedía desde un redirector, algo asi como http://come.to/secureoffice
(o algo por el estilo)
Sin embargo me había entrado la
duda y empecé a pensar por que debiera considerar al PGP mas seguro
que el Secure Office.
Primero que nada hay una razón de
autoridad gente en cuya reputación confío dice que PGP es seguro.
Bueno, podría haber una enorme conspiración y todos estar mintiendo,
pero hay muchísimas otras cosas que aceptamos por fe en la
reputación de terceros. Por el contrario no se de nadie (aparte de
los propios fabricantes) que asegure la seguridad de Secure Office.
Luego están las razones de
conveniencia. Network Associates (que venden el PGP) son, yo pienso
los más interesados en mantener la reputación de seguridad que es
algo importante en el negocio. No veo por otro lado que los
fabricantes de Secure Office tengan mucha reputación que proteger
¿por que no habrían de arreglarse con alguien interesado en una
puerta trasera?
Finalmente la historia del PGP es
bien conocida y sus códigos fuentes están disponibles para cualquier
desconfiado que los quiera revisar y compilar por si mismo, no ocurre
lo mismo con Secure Office que es una caja cerrada tal como varios
otros productos de esa clase.
Pero este artículo pretende tener
un carácter más general que la comparación de dos productos, el
software criptográfico puede ser vital para la seguridad de nuestros
datos y es muy importante ser capáz de elegir un producto bien hecho
y evitar un snake oil. Como es muy difícil que lleguemos a analizar
los códigos fuente, hay que tener a lo menos algunas guías que nos
ayuden a identificar a un mal producto.
La calidad de un sistema
criptográfico depende de varios factores, entre ellos el largo
máximo de la clave que usa. En este aspecto hay dos clases de
sistemas, los que usan un password o párrafo secreto como clave (esos
son extremadamente inseguros) y los que usan el password solo para
generar una clave de sesión que resulta ser un número enorme y al
azar, éste último método es el estándar que se usa en todo sistema
criptográfico actual. Tampoco hay que aceptar sistemas que no
permitan generar nuestras propias claves (por ejemplo los que nos
entrega la clave el fabricante)
Uno de los signos más claros de
que el producto es un engaño es la propaganda que apela a la
confianza del cliente, esa del tipo "Créanos, somos expertos en
seguridad". Si el vendedor no detalla exacta y claramente como
funciona el sistema, en términos de seguridad ese producto no sirve.
El uso de palabras técnicas poco
conocidas o tecnologías con marca registrada (con nombres vistosos
como stealth, morphing, sramble, etc.) que no explican el
funcionamiento también es una luz roja que advierte de un muy
probable engaño.
Lo mismo ocurre con los
algoritmos secretos o las tecnologías revolucionarias del tipo
"una nueva clase de criptografía" deben ser evitadas. La
fortaleza de la criptografía solo se prueba con el paso del tiempo y
la resistencia mostrada ante los ataques. Uno de los factores claves
en la confianza en un algoritmo es cuando lleva varios años sin que
haya podido quebrarse. Los algoritmos nuevos son solo potencialmente
seguros.
Otras señales de engaño son
cuando se citan "los principales expertos de seguridad",
"prestigiosas instituciones", "Extensivas pruebas"
y frases por el estilo, vagas y que tratan de dar prestigio al
producto sin entregar ningún antecedente concreto, lo mismo cuando se
dice que se usa un algoritmo "inexpugnable" (nadie
competente en criptografía admitirá el uso de esa palabra) o cuando
se critican como inseguros los productos de la competencia sin dar
mayores explicaciones de porque lo son. Otra palabra que a menudo
induce a engaño es "seguridad en grado militar", en
realidad no existe tal cosa y aunque en PGP se usa para describir la
protección que entregan las claves más largas, cualquier sistema que
alegue tener esa característica entre sus especificaciones es
probablemente un snake oil.
Las claves "recuperables"
son otro indicio de pobre seguridad de un sistema. Un sistema
realmente seguro, cuando se pierde la clave debe ser absolutamente
imposible de recuperar un texto encriptado. Mucho menos por algún
procedimiento conocido solo por el fabricante.
Bueno, creo que es un tema
importante y útil a la hora de elegir un software de seguridad y me
parece que el contraste entre PGP y Secure Office es bastante
ilustrativo.
Y para no perder la buena costumbre
de poner las fuentes de donde copié parte importante de lo que he
escrito, si desean ver el FAQ original podrán encontrarlo en http://www.interhack.net/people/cmcurtin/snake-oil-faq.html